В ближайшее время, ожидается рост количества корпоративных информационных систем, т.к. руководством страны взят курс на формирование в стране цифровой экономики, ориентированной на повышение эффективности всех отраслей за счет использования информационных технологий, а значит, возрастает и необходимость защиты обрабатываемой в них информации.
Основные понятия
Понятие «корпоративная информационная система» (КИС) содержится в ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи». Под КИС понимается информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц. При этом круг лиц, участвующих в информационном обмене, могут составлять не только структурные подразделения организации-оператора КИС, но и ее контрагенты. Главное лишь то, что состав и количество участников строго определены.
Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Поэтому, рассматривать вопрос защиты информации в КИС необходимо с определения того, какая информация подлежит защите.
Информация, подлежащая защите в корпоративной информационной системе
Действующее законодательство подразделяет информацию на два вида: общедоступная и информация ограниченного доступа (ч. 2 ст. 5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Информацию ограниченного доступа можно разделить на две большие группы – это государственная тайна и сведения конфиденциального характера.
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст. 2 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне»). Исходя из практики автора, с указанной группой информации, как правило, меньше всего проблем (в сравнении с другими видами тайн). Перечень указанной информации конкретен. Порядок обработки строго регламентирован. Перед началом обработки сведений составляющих государственную тайну организация должна получить соответствующую лицензию. Санкции за нарушение порядка обработки жесткие. Кроме того, количество субъектов имеющих подобную информацию невелико.
К сведениям конфиденциального характера относится порядка 50 видов тайн, наиболее распространенными из них являются: коммерческая тайна и личная (семейная) тайна, разновидностью которой являются персональные данные.
Персональные данные в КИС есть практически всегда. В частности, любая организация, у которой есть хотя бы один работник или паспортные данные хотя бы одного клиента, будет являться оператором персональных данных в понимании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». То есть, если в корпоративной CRM системе обрабатываются данные о клиентах (например, ФИО и адрес доставки) или эти данные находятся в файле MS Excel на рабочей станции, можно с уверенностью говорить о том, что в КИС обрабатываются персональные данные и, следовательно, организация обязана выполнять требования по их защите. На практике же, руководители большинства организаций этого не понимают, и считают, что персональные данные у них не обрабатываются, в связи с чем, мер по защите информации до наступления какого-либо инцидента не предпринимают.
Помимо персональных данных, практически в любой КИС есть информация, которая имеет действительную или потенциальную ценность в силу ее неизвестности третьим лицам, разглашения или неконтролируемой передачи которой организация стремится избежать (коммерческая тайна). На практике, распространенной является такая ситуация, когда перечень этой информации содержится исключительно в сознании руководителя или собственника организации.
Поэтому, нередко персонал неумышленно передает (пересылает участнику информационного обмена, которому она не предназначена) хранящуюся в КИС информацию или разглашает ее (выкладывает в открытый доступ). При этом, в отсутствие утвержденного перечня информации составляющей коммерческую тайну привлечь сотрудника к дисциплинарной ответственности за совершение указанных действий невозможно.
С учетом изложенного, актуальным становится вопрос принятия в организации комплекса мер защиты информации обрабатываемой в корпоративной информационной системе.
Меры защиты информации в корпоративной информационной системе
Выделяют три основных группы мер:
1. Организационные (организационно-юридические). Подготовка организационно-распорядительной документации по вопросам защиты информации: инструкции, регламенты, приказы, методические указания. Цель - упорядочивание бизнес процессов и соответствие требованиям внутреннего и внешнего регулирования (т.н. «комплаенс», «бумажная безопасность»). Данный вид мер можно назвать основным, т.к.:
- режим коммерческой тайны устанавливается исключительно принятием организационных мер перечисленных в ч. 1 ст. 5 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
- в случае с персональными данными, основной целью защиты персональных данных на сегодняшний день, не редко, является успешное прохождение проверок т.н. «регуляторов» (Роскомнадзор, ФСТЭК России, ФСБ России).
Отсюда получивший распространение в среде специалистов по безопасности термин «бумажная безопасность».
2. Технические меры. Техническая защита информации включает в себя четыре группы мер:
1) Инженерно-техническая защита. Ее целью является защита от физического проникновения нарушителя на объекты, на которых располагаются технические средства КИС (автоматизированные рабочие места, сервера и т.п.). Защита от проникновения достигается путем применения инженерно-технических сооружений: заборов, дверей, замков, турникетов, сигнализаций, видеонаблюдения и т.п.
2) Защита от несанкционированного доступа к информации. Целью данной группы мер является предотвращения несанкционированного доступа непосредственно к самой обрабатываемой в информационной системе информации. Реализуется путем проведения следующих мероприятий:
- управление доступом (пароли, назначение полномочий);
- регистрация и учет (журналирование);
- межсетевое экранирование;
- антивирусная защита;
- применение средств обнаружения (предотвращения) вторжений.
3) Защита от утечек по техническим каналам. Цель – защита информации от утечки по техническим каналам (визуальный, аудиальный, побочных электромагнитных излучений) в процессе обработки информации в КИС. Реализуется применением следующих мер:
- оборудование окон жалюзи (шторами);
- применение средств защиты от утечки по акустическим каналам, т.н. «виброакустических глушилок».
- применение специальных фильтров для защиты от побочных электромагнитных излучений и наводок. Однако данные меры на практике необходимы лишь для государственных информационных систем или информационных систем, в которых обрабатывается государственная тайна.
4) Криптографическая защита информации. Применение средств криптографической защиты информации в последние годы набирает достаточно большие обороты, во многом благодаря активному развитию корпоративных систем электронного документооборота и применения в них электронной подписи как механизма обеспечения целостности информации. В практической деятельности механизмы криптографического преобразования информации используются в целях обеспечения, прежде всего, конфиденциальности информации хранимой в базах данных либо на рабочих станциях, а также для защиты информации в процессе информационного обмена (при передаче). Собственно, только используя криптографическое преобразование возможно полноценное построение VPN (Virtual Private Network) сетей.
3. Морально-этические меры предназначены для недопущения или хотя бы минимизации разглашения информации ограниченного доступа пользователями КИС.
По различным исследованиям, количество утечек информации от сотрудников составляет от 80 до 95%, при этом подавляющее большинство – порядка 90% утечек, не связаны с умышленными действиями.
Морально этические меры неразрывно связаны с кадровой безопасностью и предусматривают прием на работу квалифицированного персонала, контрольные мероприятия, детальные должностные инструкции, обучение персонала, строгий контроль доступа, обеспечение безопасности при увольнении сотрудников. По мнению автора, ключевым является обучение персонала правилам информационной безопасности, которое должно проводиться с определенной периодичностью. Так, в частности, автор ежегодно готовит приказ, предусматривающий ежеквартальное обучение сотрудников организации в которой он работает.
Кроме того, для предотвращения утечек информации от персонала по каналам связи (электронная почта, мессенджеры, социальные сети) существует целый класс систем защиты информации, называемый «DLP системы» (Data Loss (Leak) Protection (Prevention)), в целом именуемые как «системы предотвращения утечек». Данные системы в настоящее время являются одним из популярных решений по контролю за персоналом, используемым как руководителями служб информационной, так и экономической безопасности. Большинство существующих на рынке систем данного класса позволяет обеспечить не только мониторинг и блокировку электронных каналов коммуникации, а также мониторинг активности пользователей, позволяющий выявлять сотрудников, нерационально использующих рабочее время: опаздывают на работу и уходят раньше, «сидят» в социальных сетях, играют в компьютерные игры, работают «на себя».
Еще одним трендом в вопросе кадровой безопасности, появившимся буквально несколько месяцев назад, являются системы мониторинга и выявления отклоняющегося от нормы поведения пользователей - User and entity behavior analytics (UEBA). Данные системы предназначены для анализа поведения пользователей и выявления на его основе актуальных угроз кадровой и информационной безопасности.
Общие выводы и рекомендации
Таким образом, в подавляющем большинстве корпоративных информационных систем обрабатываются персональные данные и коммерческая тайна, а соответственно все они требуют защиты. Практически всегда, особенно в коммерческом секторе, вопросы защиты информации вступают в конфликт с удобством работы сотрудников и финансированием указанных мероприятий. В работе автором рассмотрен минимальный набор мер, направленных на защиту информации в любой КИС. Данный перечень мер не требует уникальных познаний и доступен для практического применения практически любым специалистом в области информационных технологий. Кроме того, большинство из предложенных мер не требует значительных финансовых затрат.
Сведения об авторе: Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!
